安全解决方案提供商Check Point 抛出的一份新报告提供了对伊朗威胁小组Rocket Kitten(火箭猫咪)的进一步透析。
Rocket Kitten 至少2014年年初就已出现,其活动被多个安全公司所分析,包括“藏红玫瑰行动”(Operation Saffron Rose ——火眼)、“新闻播报员”(Newscaster ——埃赛德咨询)、“塔玛水库”(Thamar Reservoir ——晴空)和“羊毛金鱼”(Woolen GoldFish ——趋势科技)。
虽然他们的活动被安全公司紧密监视,这一 APT 小组看起来似乎丝毫未受影响,只是简单地对其工具和网络钓鱼域名作了修改便继续从事其行动。
Check Point 开始对 Rocket Kitten 进行分析是在该小组盯上它的客户之一之后。在调查威胁执行人使用的网络钓鱼服务器时,专家们注意到:该服务器依赖的建站集成软件包配置不当,任何人都可以不用密码就获取到 root 权限。
对攻击者数据库的分析显示:共有超过1800名受害者为该网络钓鱼骗局所骗交出了他们的信息。每一个受害者都与某一特定的 Rocket Kitten 操作员有关。
举例来说,一名操作员通过针对沙特阿拉伯的人权斗士、公司首席执行官们和政府官员的行动收获了522名用户的详细信息。另一名操作员则针对北约国家、阿拉伯联合酋长国、阿富汗、泰国和土耳其的国防产业,获取到233名受害者的详细资料。伊朗邻国的大使馆也在该操作员的目标范围之内。
最忙碌的操作员要负责将近700名受害者,受害者列表中包含了沙特阿拉伯的学者、有影响力的人、教育组织和媒体机构。Check Point 拿到的数据库显示:该小组还对海外伊朗人、委内瑞拉实体、以色列核科学家、前军官、国家安全和外交政策研究员感兴趣。
该网络钓鱼网站的日志显示:访问者最大的组成成分来自沙特阿拉伯(18%)、美国(17%)、伊朗(16%)、荷兰(8%)和以色列(5%)。专家确信,访问了该钓鱼网站页面的人中有26%输入了他们的凭证——目标精准长期钓鱼下一个相对较高的成功率。
除了网络钓鱼服务器,研究人员还通过使用攻击者硬编码到恶意软件中的管理员凭证成功黑进了 Rocket Kitten 的命令与控制(C&C)服务器。这让 Check Point 找到了揭示这一网络间谍组织的主要开发者“Wool3n.H4T”身份的蛛丝马迹。
“这一案例,与其他之前的案例一样,可以被认为是某官方机构招募了本地黑客并导引他们从愚弄网站转向为他们的国家进行针对性间谍活动。这种没经验的非专业人员常常会由于缺乏训练而反映出一种操作安全意识的匮乏,留下一大堆指向攻击源头与他们真实身份的线索。” Check Point 在其报告中称。